Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôlez le trafic vers vos AWS ressources à l'aide de groupes de sécurité
Un *groupe de sécurité* contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, après avoir associé un groupe de sécurité à une instance EC2, il contrôle le trafic entrant et sortant pour l'instance.
Lorsque vous créez un VPC, celui-ci est fourni avec un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires pour un VPC, chacun avec ses propres règles entrantes et sortantes. Vous pouvez spécifier la source, la plage de ports et le protocole pour chaque règle entrante. Vous pouvez spécifier la destination, la plage de ports et le protocole pour chaque règle sortante.
Le schéma suivant illustre un VPC avec un sous-réseau, une passerelle Internet et un groupe de sécurité. Le sous-réseau contient une instance EC2. Le groupe de sécurité est attribué à l'instance. Le groupe de sécurité fonctionne comme un pare-feu virtuel. Le seul trafic qui atteint l'instance est le trafic autorisé par les règles du groupe de sécurité. Par exemple, si le groupe de sécurité contient une règle qui autorise le trafic ICMP vers l'instance depuis votre réseau, vous pouvez envoyer une commande ping à l'instance depuis votre ordinateur. Si le groupe de sécurité ne contient pas de règle autorisant le trafic SSH, vous ne pourrez pas vous connecter à votre instance via SSH.
![\[VPC avec 2 sous-réseaux, 2 groupes de sécurité, des serveurs dans des sous-réseaux associés à différents groupes de sécurité\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-overview.png)
**Topics**
+ [Principes de base des groupes de sécurité](#security-group-basics)
+ [Exemple de groupe de sécurité](#security-group-example-details)
+ [Règles des groupes de sécurité](security-group-rules.md)
+ [Groupes de sécurité par défaut](default-security-group.md)
+ [Création d’un groupe de sécurité](creating-security-groups.md)
+ [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md)
+ [Supprimer un groupe de sécurité](deleting-security-groups.md)
+ [Associer des groupes de sécurité à plusieurs VPCs](security-group-assoc.md)
+ [Partagez des groupes de sécurité avec des AWS Organisations](security-group-sharing.md)
**Tarification**
L’utilisation de groupes de sécurité n’entraîne aucuns frais supplémentaires.
## Principes de base des groupes de sécurité
+ Vous pouvez attribuer un groupe de sécurité à des ressources créées dans le même VPC que le groupe de sécurité ou à des ressources d'un autre groupe VPCs si vous utilisez la [fonctionnalité d'association VPC du groupe de sécurité](security-group-assoc.md) pour associer le groupe de sécurité à d'autres VPCs dans la même région. Vous pouvez également attribuer plusieurs groupes de sécurité à une seule ressource.
+ Quand vous créez un groupe de sécurité, vous devez lui attribuer un nom et une description. Les règles suivantes s’appliquent :
+ Un nom de groupe de sécurité doit être unique dans le VPC.
+ Les noms des groupes de sécurité ne sont pas sensibles à la casse.
+ Les noms et les descriptions peuvent inclure jusqu'à 255 caractères.
+ Les noms et les descriptions peuvent comporter uniquement les caractères suivants : a à z, A à Z, 0 à 9, les espaces et .\$1-:/()\$1,@[]\$1=&;\$1\$1\$1\$1\$1.
+ Lorsque le nom contient des espaces de fin, nous supprimons l'espace situé à la fin du nom. Par exemple, si vous entrez « Test Security Group » pour le nom, nous le stockons comme « Test Security Group ».
+ Un nom de groupe de sécurité ne peut pas commencer par `sg-`.
+ Les groupes de sécurité sont avec état. Par exemple, si vous envoyez une demande à partir d'une instance, le trafic de réponse pour cette demande est autorisé à atteindre l'instance, quelles que soient les règles du groupe de sécurité entrant. Les réponses au trafic entrant autorisé sont autorisées à quitter l'instance, quelles que soient les règles de trafic sortant.
+ Les groupes de sécurité ne filtrent pas le trafic vers et depuis les services suivants :
+ Amazon Domain Name Services (DNS)
+ Amazon Dynamic Host Configuration Protocol (DHCP)
+ Métadonnées d'instance Amazon EC2.
+ Points de terminaison des métadonnées de tâches Amazon ECS
+ Activation de licence pour les instances Windows
+ Service de synchronisation temporelle d’Amazon
+ Adresses IP réservées utilisées par le routeur VPC par défaut
+ Des quotas s'appliquent au nombre de groupes de sécurité que vous pouvez créer par VPC, au nombre de règles que vous pouvez ajouter à chaque groupe de sécurité, et au nombre de groupes de sécurité que vous pouvez associer à une interface réseau. Pour de plus amples informations, veuillez consulter [Quotas Amazon VPC](amazon-vpc-limits.md).
**Bonnes pratiques**
+ Autorisez uniquement certains principaux IAM à créer et à modifier les groupes de sécurité.
+ Créez le nombre minimum de groupes de sécurité dont vous avez besoin afin de réduire le risque d'erreur. Utilisez chaque groupe de sécurité pour gérer l'accès aux ressources possédant des fonctions et des exigences de sécurité similaires.
+ Lorsque vous ajoutez des règles entrantes pour les ports 22 (SSH) ou 3389 (RDP) afin de pouvoir accéder à vos instances EC2, autorisez uniquement les plages d'adresses IP spécifiques. Si vous spécifiez 0.0.0.0/0 (IPv4) et : :/ (IPv6), cela permet à quiconque d'accéder à vos instances depuis n'importe quelle adresse IP en utilisant le protocole spécifié.
+ N'ouvrez pas des plages de ports trop vastes. Assurez-vous que l'accès via chaque port est limité aux sources ou aux destinations qui en ont besoin.
+ Envisagez de créer ACLs un réseau avec des règles similaires à celles de vos groupes de sécurité, afin d'ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations sur les différences entre les groupes de sécurité et le réseau ACLs, consultez[Comparez les groupes de sécurité et le réseau ACLs](infrastructure-security.md#VPC_Security_Comparison).
## Exemple de groupe de sécurité
Le schéma suivant illustre un VPC avec deux groupes de sécurité et deux sous-réseaux. Les instances du sous-réseau A ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 1. Les instances du sous-réseau B ont les mêmes exigences de connectivité et sont donc associées au groupe de sécurité 2. Les règles du groupe de sécurité autorisent le trafic comme suit :
+ La première règle entrante du groupe de sécurité 1 autorise le trafic SSH vers les instances du sous-réseau A à partir de la plage d'adresses spécifiée (par exemple, une plage de votre propre réseau).
+ La deuxième règle entrante du groupe de sécurité 1 permet aux instances du sous-réseau A de communiquer entre elles en utilisant n'importe quel protocole et port.
+ La première règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau B de communiquer entre elles en utilisant n'importe quel protocole et port.
+ La deuxième règle entrante du groupe de sécurité 2 permet aux instances du sous-réseau A de communiquer avec les instances du sous-réseau B à l'aide du protocole SSH.
+ Les deux groupes de sécurité utilisent la règle sortante par défaut, qui autorise tout le trafic.
![\[Un VPC avec deux groupes de sécurité et des serveurs dans deux sous-réseaux. Les serveurs du sous-réseau A sont associés au groupe de sécurité 1. Les serveurs du sous-réseau B sont associés au groupe de sécurité 2.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-details.png)
# Règles des groupes de sécurité
Les règles d'un groupe de sécurité contrôlent le trafic entrant autorisé à atteindre les ressources associées au groupe de sécurité. Les règles contrôlent également le trafic sortant autorisé à les quitter.
Vous pouvez ajouter ou retirer des règles pour un groupe de sécurité (ou encore *autoriser* ou *révoquer* un accès entrant ou sortant). Une règle s'applique au trafic entrant (ingress) ou sortant (egress). Vous pouvez accorder l'accès à une source ou une destination spécifique.
**Topics**
+ [Règles de base de groupe de sécurité](#security-group-rule-characteristics)
+ [Composants d'une règle de groupe de sécurité](#security-group-rule-components)
+ [Référencement des groupes de sécurité](#security-group-referencing)
+ [Taille de groupe de sécurité](#security-group-size)
+ [Règles du groupe de sécurité obsolètes](#vpc-stale-security-group-rules)
## Règles de base de groupe de sécurité
Les caractéristiques des règles des groupes de sécurité sont les suivantes :
+ Vous pouvez indiquer des règles d'autorisation, mais pas des règles d'interdiction.
+ Lorsque vous créez un groupe de sécurité pour la première fois, il n'existe pas de règles entrantes. Par conséquent, aucun trafic entrant n'est autorisé tant que vous n'avez pas ajouté de règles entrantes au groupe de sécurité.
+ Lorsque vous créez un groupe de sécurité pour la première fois, il possède une règle sortante qui autorise tout le trafic sortant de la ressource. Vous pouvez retirer la règle et ajouter des règles sortantes qui autorisent un trafic sortant spécifique uniquement. Si votre groupe de sécurité n'a pas de règles sortantes, aucun trafic sortant n'est autorisé.
+ Lorsque vous associez plusieurs groupes de sécurité à une ressource, les règles de chaque groupe de sécurité sont regroupées pour former un ensemble unique de règles utilisées pour déterminer s'il faut autoriser l'accès.
+ Lorsque vous ajoutez, mettez à jour ou supprimez des règles, vos modifications sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. Pour obtenir des instructions, veuillez consulter [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md).
+ L’effet de certaines modifications de règle peut dépendre de la manière dont le trafic est suivi. Pour plus d’informations, consultez [Suivi de connexion](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) dans le *Guide de l’utilisateur Amazon EC2*.
+ Lorsque vous créez une règle de groupe de sécurité, AWS attribuez un identifiant unique à la règle. Vous pouvez utiliser l’ID d’une règle lorsque vous utilisez l’API ou la CLI pour modifier ou supprimer la règle.
**Limitation**
[Les groupes de sécurité ne peuvent pas bloquer les requêtes DNS à destination ou en provenance du résolveur Route 53, parfois appelé « adresse IP VPC\$12 » (voir [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)le *guide du développeur Amazon Route 53*) ou DNS. AmazonProvided](DHCPOptionSet.md) Afin de filtrer les demandes DNS via Route 53 Resolver, utilisez [Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html).
## Composants d'une règle de groupe de sécurité
Les éléments suivants sont les composants des règles entrantes et sortantes des groupes de sécurité :
+ **Protocole** : le protocole à autoriser. Les protocoles les plus courants sont 6 (TCP) 17 (UDP) et 1 (ICMP).
+ **Port range (Plage de ports)** : pour TCP, UDP ou un protocole personnalisé : la plage de ports autorisée. Vous pouvez spécifier un seul numéro de port (par exemple, `22`), ou une plage de numéros de port (par exemple, `7000-8000`).
+ **ICMP type and code (Type et code ICMP)** : pour ICMP, le code et le type ICMP. Par exemple, utilisez le type 8 pour ICMP Echo Request ou le type 128 pour ICMPv6 Echo Request. Pour plus d’informations, consultez la section [Rules for ping/ICMP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-ping) du *Guide d’utilisation d’Amazon EC2*.
+ **Source or destination** (Source ou destination) : la source (règles entrantes) ou la destination (règles sortantes) pour le trafic à autoriser. Spécifiez l’un des éléments suivants :
+ Une IPv4 adresse unique. Vous devez utiliser la longueur de préfixe `/32`. Par exemple, `203.0.113.1/32`.
+ Une IPv6 adresse unique. Vous devez utiliser la longueur de préfixe `/128`. Par exemple, `2001:db8:1234:1a00::123/128`.
+ Une plage d' IPv4 adresses, en notation par blocs CIDR. Par exemple, `203.0.113.0/24`.
+ Une plage d' IPv6 adresses, en notation par blocs CIDR. Par exemple, `2001:db8:1234:1a00::/64`.
+ ID d’une liste des préfixes. Par exemple, `pl-1234abc1234abc123`. Pour de plus amples informations, veuillez consulter [Listes de préfixes gérées](managed-prefix-lists.md).
+ ID d'un groupe de sécurité. Par exemple, `sg-1234567890abcdef0`. Pour de plus amples informations, veuillez consulter [Référencement des groupes de sécurité](#security-group-referencing).
+ **(Facultatif) Description** : vous pouvez ajouter une description pour la règle, par exemple, pour vous aider à l’identifier ultérieurement. Une description peut inclure jusqu’à 255 caractères. Les caractères autorisés sont : a-z, A-Z, 0-9, espaces et .\$1-:/()\$1,@[]\$1=;\$1\$1\$1\$1\$1.
Pour obtenir des exemples, consultez la section [Security group rules for different use cases](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html) du *Guide d’utilisation d’Amazon EC2*.
## Référencement des groupes de sécurité
Lorsque vous spécifiez un groupe de sécurité comme source ou destination d'une règle, cette règle affecte toutes les instances associées aux groupes de sécurité. Les instances peuvent communiquer dans la direction spécifiée, en utilisant les adresses IP privées des instances, via le protocole et le port spécifiés.
Par exemple, ce qui suit présente une règle entrante pour un groupe de sécurité référençant le groupe de sécurité sg-0abcdef1234567890. Cette règle autorise le trafic SSH entrant depuis les instances associées à sg-0abcdef1234567890.
| Source | Protocole | Plage de ports |
| --- | --- | --- |
| sg-0abcdef1234567890 | TCP | 22 |
Lorsque vous référencez un groupe de sécurité dans une règle de groupe de sécurité, tenez compte des points suivants :
+ Vous pouvez faire référence à un groupe de sécurité dans la règle entrante d’un autre groupe de sécurité si l’une des conditions suivantes est vraie :
+ Les groupes de sécurité sont associés au même VPC.
+ Il existe une connexion d'appairage entre ceux VPCs auxquels les groupes de sécurité sont associés.
+ Il existe une passerelle de transit entre celles VPCs auxquelles les groupes de sécurité sont associés.
+ Vous pouvez faire référence à un groupe de sécurité dans la règle sortante si l’une des conditions suivantes est vraie :
+ Les groupes de sécurité sont associés au même VPC.
+ Il existe une connexion d'appairage entre ceux VPCs auxquels les groupes de sécurité sont associés.
+ Aucune règle du groupe de sécurité référencé n'est ajoutée au groupe de sécurité le référençant.
+ Concernant les règles entrantes, les instances EC2 associées à un groupe de sécurité peuvent recevoir le trafic entrant des adresses IP privées issues des interfaces réseau pour les instances EC2 associées au groupe de sécurité référencé.
+ Concernant les règles sortantes, les instances EC2 associées à un groupe de sécurité peuvent envoyer le trafic sortant aux adresses IP privées issues des interfaces réseau pour les instances EC2 associées au groupe de sécurité référencé.
+ Nous ne fournissons pas d’autorisation par rapport aux groupes de sécurité référencés dans les actions suivantes : `AuthorizeSecurityGroupIngress`, `AuthorizeSecurityGroupEgress`, `RevokeSecurityGroupIngress`, et `RevokeSecurityGroupEgress`. Nous vérifions uniquement si le groupe de sécurité existe. Il en résulte ce qui suit :
+ La spécification du groupe de sécurité référencé dans les politiques IAM pour ces actions n’a aucun effet.
+ Lorsqu'un groupe de sécurité référencé appartient à un autre compte, le compte propriétaire ne reçoit aucun CloudTrail événement pour ces actions.
**Limitation**
Si vous configurez des acheminements pour transférer le trafic entre deux instances de sous-réseaux différents via un dispositif middlebox, vous devez vous assurer que les groupes de sécurité des deux instances autorisent le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
**Exemple**
Le schéma suivant montre un VPC avec des sous-réseaux dans deux zones de disponibilité, une passerelle Internet et un Application Load Balancer. Chaque zone de disponibilité possède un sous-réseau public pour les serveurs Web et un sous-réseau privé pour les serveurs de base de données. Il existe des groupes de sécurité distincts pour l'équilibreur de charge, les serveurs Web et les serveurs de base de données. Créez les règles du groupe de sécurité suivantes pour autoriser le trafic.
+ Ajoutez des règles au groupe de sécurité de l'équilibreur de charge pour autoriser le trafic HTTP et HTTPS en provenance d'Internet. La source est 0.0.0.0/0.
+ Ajoutez des règles au groupe de sécurité pour les serveurs Web afin d'autoriser le trafic HTTP et HTTPS uniquement en provenance de l'équilibreur de charge. La source est le groupe de sécurité pour l'équilibreur de charge.
+ Ajoutez des règles au groupe de sécurité pour les serveurs de base de données afin d'autoriser les demandes de base de données provenant des serveurs Web. La source est le groupe de sécurité pour les serveurs Web.
![\[Architecture avec serveurs web et de base de données, groupes de sécurité, passerelle Internet et équilibreur de charge\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/security-group-referencing.png)
## Taille de groupe de sécurité
Le type de source ou de destination détermine la façon dont chaque règle est prise en compte dans le nombre maximum de règles que vous pouvez avoir par groupe de sécurité.
+ Une règle référençant un bloc CIDR compte comme une seule règle.
+ Une règle référençant un autre groupe de sécurité compte comme une seule règle, quelle que soit la taille du groupe de sécurité référencé.
+ Une règle référençant une liste de préfixes gérée par le client compte comme la taille maximale de la liste de préfixes. Par exemple, si la taille maximale de votre liste de préfixes est égale à 20, une règle la référençant compte comme 20 règles.
+ Une règle qui fait référence à une liste de préfixes AWS gérée compte comme le poids de la liste de préfixes. Par exemple, si le poids de la liste de préfixes est égale à 10, une règle la référençant compte comme 10 règles. Pour de plus amples informations, veuillez consulter [Listes AWS de préfixes gérées disponibles](working-with-aws-managed-prefix-lists.md#available-aws-managed-prefix-lists).
## Règles du groupe de sécurité obsolètes
Si votre VPC est connecté à un autre VPC par appairage de VPC ou s'il utilise un VPC partagé par un autre compte, une règle de groupe de sécurité peut référencer un groupe de sécurité dans le VPC pair ou le VPC partagé. Cela permet aux ressources associées au groupe de sécurité référencé et à celles associées au groupe de sécurité de référencement de communiquer entre elles. Pour plus d’informations, consultez [Mise à jour de vos groupes de sécurité pour référencer des groupes de sécurité pairs](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) dans le *Guide d’appairage Amazon VPC*.
Si vous avez une règle de groupe de sécurité qui fait référence à un groupe de sécurité dans un VPC pair ou un VPC partagé, et si le groupe de sécurité du VPC partagé est supprimé ou si la connexion d’appairage de VPC est supprimée, la règle du groupe de sécurité est marquée comme étant obsolète. Vous pouvez supprimer des règles de groupe de sécurité obsolètes comme vous le feriez pour toute autre règle de groupe de sécurité.
# Groupes de sécurité par défaut pour votre VPCs
Votre groupe de sécurité par défaut VPCs et tous ceux VPCs que vous créez sont fournis avec un groupe de sécurité par défaut. Le nom du groupe de sécurité par défaut est « default ».
Nous vous recommandons de créer des groupes de sécurité pour des ressources ou des groupes de ressources spécifiques plutôt que d'utiliser le groupe de sécurité par défaut. Cependant, si vous n'associez pas de groupe de sécurité à certaines ressources au moment de la création, nous les associons au groupe de sécurité par défaut. Par exemple, si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance EC2, nous associons l'instance au groupe de sécurité par défaut de son VPC.
## Principes de base des groupes de sécurité par défaut
+ Vous pouvez modifier les règles du groupe de sécurité par défaut.
+ Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer un groupe de sécurité par défaut, nous renvoyons le code d'erreur suivante : `Client.CannotDelete`.
## Règles par défaut
Le tableau ci-après décrit les règles entrantes par défaut pour un groupe de sécurité par défaut.
| Source | Protocole | Plage de ports | Description |
| --- | --- | --- | --- |
| sg-1234567890abcdef0 | Tous | Tous | Autorise le trafic entrant à partir de toutes les ressources attribuées à ce groupe de sécurité. La source est l’ID de ce groupe de sécurité. |
Le tableau ci-après décrit les règles sortantes par défaut pour un groupe de sécurité par défaut.
| Destination | Protocole | Plage de ports | Description |
| --- | --- | --- | --- |
| 0.0.0.0/0 | Tous | Tous | Autorise tout le IPv4 trafic sortant. |
| ::/0 | Tous | Tous | Autorise tout le IPv6 trafic sortant. Cette règle est ajoutée uniquement si votre VPC est associé à un bloc IPv6 CIDR. |
## Exemple
Le schéma suivant montre un VPC avec un groupe de sécurité, une passerelle Internet et une passerelle NAT par défaut. La sécurité par défaut contient uniquement ses règles par défaut et elle est associée à deux instances EC2 exécutées dans le VPC. Dans ce scénario, chaque instance peut recevoir du trafic entrant en provenance de l'autre instance sur tous les ports et protocoles. Les règles par défaut ne permettent pas aux instances de recevoir de trafic depuis la passerelle Internet ou la passerelle NAT. Si vos instances doivent recevoir de trafic supplémentaire, nous vous recommandons de créer un groupe de sécurité avec les règles requises et d'associer le nouveau groupe de sécurité aux instances au lieu du groupe de sécurité par défaut.
![\[VPC avec 2 sous-réseaux, groupe de sécurité par défaut, 2 instances EC2, passerelle Internet et passerelle NAT\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/default-security-group.png)
# Créer un groupe de sécurité pour votre VPC
Votre cloud privé virtuel (VPC) est associé à un groupe de sécurité par défaut. Vous pouvez créer des groupes de sécurité supplémentaires. Les groupes de sécurité ne peuvent être utilisés qu’avec les ressources du VPC dans lesquels ils sont créés.
Par défaut, les nouveaux groupes de sécurité commencent avec seulement une règle de trafic sortant, qui permet à la totalité du trafic de quitter la ressource. Vous devez ajouter des règles pour activer un trafic entrant ou limiter le trafic sortant. Vous pouvez ajouter des règles au moment de créer un groupe de sécurité ou ultérieurement. Pour de plus amples informations, veuillez consulter [Règles des groupes de sécurité](security-group-rules.md).
**Autorisations nécessaires**
Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour plus d’informations, consultez les ressources suivantes :
+ [Gérer les groupes de sécurité](vpc-policy-examples.md#vpc-security-groups-iam)
+ [Gérer les règles de groupe de sécurité](vpc-policy-examples.md#vpc-security-group-rules-iam)
**Pour créer un groupe de sécurité à l’aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
1. Saisissez un nom et une description pour le groupe de sécurité. Vous ne pouvez pas modifier le nom et la description d’un groupe de sécurité créé.
1. Pour **VPC**, choisissez le VPC dans lequel vous souhaitez créer les ressources auxquelles associer le groupe de sécurité.
1. (Facultatif) Pour ajouter des règles entrantes, choisissez **Règles entrantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la source. Pour de plus amples informations, veuillez consulter [Configurer des règles de groupe de sécurité](working-with-security-group-rules.md).
1. (Facultatif) Pour ajouter des règles sortantes, choisissez **Règles sortantes**. Pour chaque règle, choisissez **Ajouter une règle** et spécifiez le protocole, le port et la destination.
1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
**Pour créer un groupe de sécurité à l'aide du AWS CLI**
Utilisez la commande [create-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-security-group.html).
Vous pouvez également créer un nouveau groupe de sécurité en copiant un groupe de sécurité existant. Lorsque vous copiez un groupe de sécurité, nous ajoutons automatiquement les mêmes règles entrantes et sortantes qu’au groupe de sécurité d’origine et utilisons le même VPC que le groupe de sécurité d’origine. Vous pouvez saisir un nom et une description pour le nouveau groupe de sécurité. Vous pouvez éventuellement choisir un autre VPC et modifier les règles entrantes et sortantes selon vos besoins. Cependant, vous ne pouvez pas copier un groupe de sécurité d’une région vers une autre région.
**Pour créer un groupe de sécurité basé sur un groupe de sécurité existant**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez un groupe de sécurité.
1. Choisissez **Actions**, **Copier vers un nouveau groupe de sécurité**.
1. Saisissez un nom et une description pour le groupe de sécurité.
1. (Facultatif) Choisissez un autre VPC si nécessaire.
1. (Facultatif) Ajoutez, supprimez ou modifiez les règles du groupe de sécurité en fonction de vos besoins.
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
# Configurer des règles de groupe de sécurité
Après avoir créé un groupe de sécurité, vous pouvez ajouter, mettre à jour et supprimer ses règles de groupe de sécurité. Lorsque vous ajoutez, supprimez ou mettez à jour une règle, la modification est automatiquement appliquée aux ressources associées au groupe de sécurité.
**Autorisations requises**
Avant de commencer, vérifiez que vous disposez des autorisations requises. Pour de plus amples informations, veuillez consulter [Gérer les règles de groupe de sécurité](vpc-policy-examples.md#vpc-security-group-rules-iam).
**Protocoles et ports**
+ Avec la console, lorsque vous sélectionnez un type prédéfini, le **Protocole** et la **Plage de ports** sont spécifiés à votre place. Pour saisir une plage de ports, vous devez sélectionner l’un des types personnalisés suivants : **TCP personnalisé** ou **UDP personnalisé**.
+ Avec le AWS CLI, vous pouvez ajouter une seule règle avec un seul port à l'aide des `--port` options `--protocol` et. Pour ajouter plusieurs règles, ou une règle avec une plage de ports, utilisez plutôt l’option `--ip-permissions`.
**Sources et destinations**
+ Avec la console, vous pouvez spécifier les éléments suivants comme sources pour les règles entrantes ou destinations pour les règles sortantes :
+ **Personnalisé** : bloc d' IPv4 adresse CIDR, bloc d' IPv6 adresse CIDR, groupe de sécurité ou liste de préfixes.
+ **N'importe où- IPv4** — Le bloc CIDR 0.0.0.0/0 IPv4 .
+ **N'importe où- IPv6** — Le bloc IPv6 CIDR : :/0.
+ **Mon adresse IP** — L' IPv4 adresse publique de votre ordinateur local.
+ Avec le AWS CLI, vous pouvez spécifier un bloc IPv4 CIDR à l'aide de l'`--cidr`option ou un groupe de sécurité à l'aide de l'`--source-group`option. Pour spécifier une liste de préfixes ou un bloc IPv6 CIDR, utilisez l'`--ip-permissions`option.
**Avertissement**
Si vous choisissez **Anywhere- IPv4**, vous autorisez le trafic provenant de toutes les IPv4 adresses. Si vous choisissez **Anywhere- IPv6**, vous autorisez le trafic provenant de toutes les IPv6 adresses. Il est recommandé d’autoriser uniquement les plages d’adresses IP spécifiques ayant besoin d’accéder à vos ressources.
**Pour configurer des règles de groupe de sécurité à l’aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez le groupe de sécurité.
1. Pour modifier les règles entrantes, choisissez **Modifier les règles entrantes** dans **Actions** ou dans l’onglet **Règles entrantes**.
1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la source de la règle.
Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.
1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.
1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.
1. Pour modifier les règles sortantes, choisissez **Modifier les règles sortantes dans **Actions** ou dans l’onglet Règles** **sortantes**.
1. Pour ajouter une règle, choisissez **Ajouter une règle** et entrez le type, le protocole, le port et la destination de la règle. Vous pouvez également saisir une description facultative.
Si le type est TCP ou UDP, vous devez entrer la plage de ports à autoriser. Pour un protocole ICMP personnalisé, vous devez choisir le nom du type d’ICMP dans **Protocole** et, le cas échéant, le nom de code dans **Plage de ports**. Pour tous les autres types, le protocole et la plage de ports sont configurés automatiquement.
1. Pour mettre à jour une règle, modifiez son protocole, sa description et sa source selon vos besoins. Toutefois, vous ne pouvez pas modifier le type de source. Par exemple, si la source est un bloc d'adresse IPv4 CIDR, vous ne pouvez pas spécifier de bloc d'adresse IPv6 CIDR, de liste de préfixes ou de groupe de sécurité.
1. Pour supprimer une règle, cliquez sur **le bouton Supprimer**.
1. Sélectionnez **Enregistrer les règles**.
**Pour configurer les règles des groupes de sécurité à l'aide du AWS CLI**
+ **Ajouter** — Utilisez les [authorize-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-egress.html)commandes [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html)et.
+ **Supprimer** — Utilisez les [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html)commandes [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html)et.
+ **Modifier** [— Utilisez les [modify-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-security-group-rules.html)commandes [update-security-group-rule-descriptions-ingress et -descriptions-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-ingress.html). update-security-group-rule](https://docs.aws.amazon.com/cli/latest/reference/ec2/update-security-group-rule-descriptions-egress.html)
# Supprimer un groupe de sécurité
Lorsque vous avez fini d’utiliser un groupe de sécurité que vous avez créé, vous pouvez le supprimer.
**Exigences**
+ Le groupe de sécurité ne peut être associé à aucune ressource.
+ Le groupe de sécurité ne peut être référencé par une règle dans un autre groupe de sécurité.
+ Le groupe de sécurité ne peut être le groupe de sécurité par défaut du VPC.
**Pour supprimer un groupe de sécurité à l’aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez le groupe de sécurité, puis choisissez **Actions**, **Supprimer les groupes de sécurité**.
1. Si vous avez sélectionné plusieurs groupes de sécurité, vous êtes invité à confirmer. Si certains groupes de sécurité ne peuvent pas être supprimés, nous affichons le statut de chaque groupe de sécurité, qui indique s’il sera supprimé. Pour confirmer la suppression, saisissez **Supprimer**.
1. Sélectionnez **Delete (Supprimer)**.
**Pour supprimer un groupe de sécurité à l'aide du AWS CLI**
Utilisez la commande [delete-security-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-security-group.html).
# Associer des groupes de sécurité à plusieurs VPCs
Si vous avez des charges de travail exécutées en plusieurs groupes VPCs qui partagent les mêmes exigences de sécurité réseau, vous pouvez utiliser la fonctionnalité Associations VPC de groupe de sécurité pour associer un groupe de sécurité à VPCs plusieurs groupes dans la même région. Cela vous permet de gérer et de gérer les groupes de sécurité en un seul endroit pour plusieurs VPCs groupes de votre compte.
![\[Schéma du groupe de sécurité associé à deux VPCs.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/sec-group-vpc-assoc.png)
Le schéma ci-dessus montre le AWS compte A contenant deux VPCs comptes. Chacun d'entre eux VPCs a des charges de travail exécutées dans un sous-réseau privé. Dans ce cas, les charges de travail des sous-réseaux des VPC A et B partagent les mêmes exigences en matière de trafic réseau. Le compte A peut donc utiliser la fonctionnalité Associations de VPC et de groupes de sécurité pour associer le groupe de sécurité du VPC A au VPC B. Toutes les mises à jour apportées au groupe de sécurité associé sont automatiquement appliquées au trafic des charges de travail du sous-réseau du VPC B.
**Exigences relatives à la fonctionnalité Associations de VPC et de groupes de sécurité**
+ Vous devez être le propriétaire du VPC ou disposer de l’un des sous-réseaux VPC partagé avec vous pour associer un groupe de sécurité au VPC.
+ Le VPC et le groupe de sécurité doivent se trouver dans la même AWS région.
+ Vous ne pouvez pas associer un groupe de sécurité par défaut à un autre VPC ou associer un groupe de sécurité à un VPC par défaut.
+ Le propriétaire du groupe de sécurité ainsi que le propriétaire du VPC peuvent consulter les associations de VPC et de groupes de sécurité.
**Services qui prennent en charge cette fonctionnalité**
+ Amazon API Gateway (REST APIs uniquement)
+ AWS Auto Scaling
+ CloudFormation
+ Amazon EC2
+ Amazon EFS
+ Amazon EKS
+ Amazon FSx
+ AWS PrivateLink
+ Amazon Route 53
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
## Associer un groupe de sécurité à un autre VPC
Cette section explique comment utiliser le AWS Management Console et AWS CLI pour associer un groupe de sécurité à VPCs.
------
#### [ AWS Management Console ]
**Pour associer un groupe de sécurité à un autre VPC**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.
1. Choisissez un groupe de sécurité pour afficher les détails.
1. Cliquez sur l’onglet **Associations de VPC**.
1. Choisissez **Associate VPC (Associer un VPC)**.
1. Sous **ID de VPC**, choisissez un VPC à associer au groupe de sécurité.
1. Choisissez **Associate VPC (Associer un VPC)**.
------
#### [ Command line ]
**Pour associer un groupe de sécurité à un autre VPC**
1. Créez une association VPC avec. [associate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/associate-security-group-vpc.html)
1. Vérifiez le statut d'une association VPC avec [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) et attendez qu'il soit valide. `associated`
------
Le VPC est désormais associé au groupe de sécurité.
Une fois que vous avez associé le VPC au groupe de sécurité, vous pouvez, par exemple, [lancer une instance dans le VPC et choisir ce nouveau groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) ou [référencer ce groupe de sécurité dans une règle de groupe de sécurité existante](security-group-rules.md#security-group-referencing).
## Dissocier un groupe de sécurité d’un autre VPC
Cette section explique comment utiliser le AWS Management Console et AWS CLI pour dissocier un groupe de VPCs sécurité. Vous pouvez le faire si votre objectif est de supprimer le groupe de sécurité. Les groupes de sécurité ne peuvent être supprimés s’ils sont associés. Vous ne pouvez dissocier un groupe de sécurité que s’il n’existe aucune interface réseau dans le VPC associé utilisant ce groupe de sécurité.
------
#### [ AWS Management Console ]
**Pour dissocier un groupe de sécurité d’un VPC**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.
1. Choisissez un groupe de sécurité pour afficher les détails.
1. Cliquez sur l’onglet **Associations de VPC**.
1. Choisissez **Dissocier le VPC**.
1. Sous **ID de VPC**, choisissez un VPC à dissocier du groupe de sécurité.
1. Choisissez **Dissocier le VPC**.
1. Consultez l’**état** de la dissociation dans l’onglet Associations de VPC et attendez que l’état soit `disassociated`.
------
#### [ Command line ]
**Pour dissocier un groupe de sécurité d’un VPC**
1. Dissocier une association VPC avec. [disassociate-security-group-vpc](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/disassociate-security-group-vpc.html)
1. Vérifiez l'état d'une dissociation d'un VPC avec [describe-security-group-vpc-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-security-group-vpc-associations.html) et attendez que ce soit le cas. `disassociated`
------
Le VPC est désormais dissocié du groupe de sécurité.
# Partagez des groupes de sécurité avec des AWS Organisations
La fonctionnalité de groupe de sécurité partagé vous permet de partager un groupe de sécurité avec d'autres comptes AWS Organizations au sein de la même AWS région et de rendre le groupe de sécurité disponible pour être utilisé par ces comptes.
Le schéma suivant montre comment vous pouvez utiliser la fonctionnalité de groupe de sécurité partagé pour simplifier la gestion des groupes de sécurité entre les comptes de vos AWS Organisations :
![\[Schéma du partage des groupes de sécurité avec d’autres comptes dans un sous-réseau VPC partagé.\]](http://docs.aws.amazon.com/fr_fr/vpc/latest/userguide/images/sec-group-sharing.png)
Ce diagramme montre trois comptes qui font partie de la même organisation. Le compte A partage un sous-réseau VPC avec les comptes B et C. Le compte A partage le groupe de sécurité avec les comptes B et C à l’aide de la fonctionnalité Groupe de sécurité partagé. Les comptes B et C utilisent ensuite ce groupe de sécurité lorsqu’ils lancent des instances dans le sous-réseau partagé. Cela permet au compte A de gérer le groupe de sécurité : toute mise à jour du groupe de sécurité s’applique aux ressources que les comptes B et C exécutent dans le sous-réseau VPC partagé.
**Exigences relatives à la fonctionnalité Groupe de sécurité partagé**
+ Cette fonctionnalité n’est disponible que pour les comptes d’une même organisation dans AWS Organizations. [Le partage des ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) doit être activé dans AWS Organizations.
+ Le compte qui partage le groupe de sécurité doit posséder à la fois le VPC et le groupe de sécurité.
+ Vous ne pouvez pas partager de groupes de sécurité par défaut.
+ Vous ne pouvez pas partager les groupes de sécurité qui se trouvent dans un VPC par défaut.
+ Les comptes participants peuvent créer des groupes de sécurité dans un VPC partagé, mais ils ne peuvent pas partager ces groupes de sécurité.
+ Un ensemble minimal d'autorisations est requis pour qu'un principal IAM puisse partager un groupe de sécurité avec AWS RAM. Utilisez les politiques IAM gérées `AmazonEC2FullAccess` et `AWSResourceAccessManagerFullAccess` pour vous assurer que vos principaux IAM disposent des autorisations requises pour partager et utiliser des groupes de sécurité partagés. Si vous utilisez une politique IAM personnalisée, les actions `c2:PutResourcePolicy` et `ec2:DeleteResourcePolicy` sont requises. Il s’agit d’actions IAM avec autorisation uniquement. Si ces autorisations ne sont pas accordées à un principal IAM, une erreur se produit lors de la tentative de partage du groupe de sécurité à l’aide d’ AWS RAM.
**Services qui prennent en charge cette fonctionnalité**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**Manière dont cette fonctionnalité affecte les quotas existants**
Les [quotas des groupes de sécurité](amazon-vpc-limits.md#vpc-limits-security-groups) s’appliquent. Cependant, en ce qui concerne le quota « Groupes de sécurité par interface réseau », si un participant utilise à la fois des groupes détenus et partagés sur une interface réseau Elastic (ENI), le quota minimal du propriétaire et du participant s’applique.
Exemple pour montrer la manière dont le quota est affecté par cette fonctionnalité :
+ Quota du compte propriétaire : 4 groupes de sécurité par interface
+ Quota du compte participant : 5 groupes de sécurité par interface.
+ Le propriétaire partage les groupes SG-O1, SG-O2, SG-O3, SG-O4, SG-O5 avec le participant. Le participant possède déjà ses propres groupes dans le VPC : SG-P1, SG-P2, SG-P3, SG-P4, SG-P5.
+ Si le participant crée une ENI et utilise uniquement ses propres groupes, il peut associer les 5 groupes de sécurité (SG-P1, SG-P2, SG-P3, SG-P4, SG-P5), car c’est son quota.
+ Si le participant crée une ENI et utilise des groupes partagés, il ne peut associer que 4 groupes au maximum. Dans ce cas, le quota d’une telle ENI est le minimum des quotas du propriétaire et du participant. Les configurations valides possibles se présente comme suit :
+ SG-O1, SG-P1, SG-P2, SG-P3
+ SG-O1, SG-O2, SG-O3, SG-O4
## Partager un groupe de sécurité
Cette section explique comment utiliser AWS Management Console et pour AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.
------
#### [ AWS Management Console ]
**Pour partager un groupe de sécurité**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.
1. Choisissez un groupe de sécurité pour afficher les détails.
1. Cliquez sur l'onglet **Sharing (Partager)** .
1. Choisissez **Partager un groupe de sécurité**.
1. Choisissez **Créer une ressource**. Par conséquent, la AWS RAM console s'ouvre dans laquelle vous allez créer le partage de ressources pour le groupe de sécurité.
1. Saisissez un **Nom** pour la ressource partagée.
1. Sous **Ressources – facultatif**, choisissez **Groupes de sécurité**.
1. Sélectionnez un groupe de sécurité. Le groupe de sécurité ne peut pas être un groupe de sécurité par défaut et ne peut pas être associé au VPC par défaut.
1. Choisissez **Suivant**.
1. Passez en revue les actions que les principaux seront autorisés à effectuer, puis cliquez sur **Suivant**.
1. Sous **Principaux – facultatif**, sélectionnez **Autoriser le partage uniquement au sein de votre organisation**.
1. Sous **Principaux**, sélectionnez l’un des types de principaux suivants et saisissez les numéros appropriés :
+ **AWS compte** : numéro de compte d'un compte au sein de votre organisation.
+ **Organisation** : The AWS Organizations ID.
+ **Unité d’organisation (UO)** : ID d’une UO de l’organisation.
+ **Rôle IAM** : ARN d’un rôle IAM. Le compte qui a créé le rôle doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
+ **Utilisateur IAM** : ARN d’un utilisateur IAM. Le compte qui a créé l’utilisateur doit être membre de la même organisation que le compte qui a créé ce partage de ressources.
+ **Principal de service** : vous ne pouvez pas partager un groupe de sécurité avec un principal de service.
1. Choisissez **Ajouter**.
1. Choisissez **Suivant**.
1. Choisissez **Créer une ressource**.
1. Sous **Ressources partagées**, attendez que l’**état** soit `Associated`. Si l’association d’un groupe de sécurité échoue, cela peut être dû à l’une des restrictions répertoriées ci-dessus. Consultez les détails du groupe de sécurité et l’onglet **Partage** de la page de détails pour voir les messages indiquant les raisons pour lesquelles un groupe de sécurité ne peut pas être partagé.
1. Revenez à la liste des groupes de sécurité de la console VPC.
1. Choisissez le groupe de sécurité que vous avez partagé.
1. Cliquez sur l'onglet **Sharing (Partager)** . Votre AWS RAM ressource doit y être visible. Si ce n’est pas le cas, la création du partage de ressources a peut-être échoué et vous devrez peut-être la recréer.
------
#### [ Command line ]
**Pour partager un groupe de sécurité**
1. Vous devez d'abord créer un partage de ressources pour le groupe de sécurité avec lequel vous souhaitez partager AWS RAM. Pour savoir comment créer un partage de ressources à AWS RAM l'aide du AWS CLI, voir [Création d'un partage de ressources AWS RAM dans](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html) le *guide de AWS RAM l'utilisateur*
1. Pour afficher les associations de partage de ressources créées, utilisez [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html).
------
Le groupe de sécurité est désormais partagé. Vous pouvez sélectionner le groupe de sécurité lors du [lancement d’une instance EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html) dans un sous-réseau partagé au sein du même VPC.
## Arrêter de partager un groupe de sécurité
Cette section explique comment utiliser AWS Management Console et pour arrêter de AWS CLI partager un groupe de sécurité avec d'autres comptes de votre organisation.
------
#### [ AWS Management Console ]
**Pour arrêter de partager un groupe de sécurité**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**.
1. Choisissez un groupe de sécurité pour afficher les détails.
1. Cliquez sur l'onglet **Sharing (Partager)** .
1. Choisissez un partage de ressources de groupe de sécurité, puis sélectionnez **Arrêter le partage**.
1. Choisissez **Oui, arrêter le partage**.
------
#### [ Command line ]
**Pour arrêter de partager un groupe de sécurité**
Supprimez la ressource partagée avec [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html).
------
Le groupe de sécurité n’est plus partagé. Lorsque le propriétaire cesse de partager un groupe de sécurité, les règles suivantes doivent être respectées :
+ Les Elastic Network Interfaces (ENIs) des participants existants continuent de recevoir toutes les mises à jour des règles des groupes de sécurité apportées aux groupes de sécurité non partagés. L’annulation du partage empêche uniquement le participant de créer de nouvelles associations avec le groupe non partagé.
+ Les participants ne peuvent plus associer le groupe de sécurité non partagé à un groupe qui ENIs leur appartient.
+ Les participants peuvent décrire et supprimer ceux ENIs qui sont toujours associés à des groupes de sécurité non partagés.
+ Si les participants sont toujours ENIs associés au groupe de sécurité non partagé, le propriétaire ne peut pas supprimer le groupe de sécurité non partagé. Le propriétaire ne peut supprimer le groupe de sécurité qu'une fois que les participants ont dissocié (supprimé) le groupe de sécurité de tous leurs ENIs membres.
+ Les participants ne peuvent pas lancer de nouvelles instances EC2 à l’aide d’une ENI associée à un groupe de sécurité non partagé.